髙橋さんのログ(2023)を基に実施した (一部編集済み). opensslを用いたRSAサーバ鍵ペアの作成(この作業はローカルで行う) 2025/07/14 実施 ・乱数生成用ファイルを作成.  $ dd bs=200K count=1 if=/dev/urandom of=randfile1.txt  $ dd bs=200K count=1 if=/dev/urandom of=randfile2.txt  $ dd bs=200K count=1 if=/dev/urandom of=randfile3.txt ・確認  $ ls  randfile1.txt randfile2.txt randfile3.txt ・キーペアの確認  $ openssl genrsa -des3 -rand randfile1.txt:randfile2.txt:randfile3.txt 2048 > mail.key  614400 semi-random bytes loaded Generating RSA private key, 2048 bit long modulus ..+++++ ..........+++++ e is 65537 (0x010001) Enter pass phrase: EPcore Verifying - Enter pass phrase: EPcore このパスフレーズは証明書インストール時に必要になる(EPcore) # 今年度は真田が別のパスフレーズを設定した. CSRファイルの作成 2025/07/14実施 北大発行のUPKI電子証明書発行サービス申請用ファイル作成手順及び過去の手順書, 再発行指示メールをもとに下記の入力欄を埋める. $ openssl req -new -key mail.key -sha256 -out mail.csr Enter pass phrase for mail.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:Hokkaido Locality Name (eg, city) []:Sapporo Organization Name (eg, company) [Internet Widgits Pty Ltd]:Hokkaido University Organizational Unit Name (eg, section) []:. #(ピリオドだけ入力した) Common Name (e.g. server FQDN or YOUR name) []:mail.ep.sci.hokudai.ac.jp Email Address []:. Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:. An optional company name []:. 存在を確認する. $ ls randfile1.txt randfile2.txt randfile3.txt mail.csr mail.key ・作成内容を確認する. $ openssl req -noout -text -in mail.csr 上記で入力した内容と相違ないことを確認. TSVファイルの作成 2025/07/14実施 直前で作成したCSRファイルを用い, TSV ファイル作成支援ツール(https://certs.nii.ac.jp/tsv-tool/)からTSVファイルを作成. 入力内容は再発行指示メールをもとに入力. 失効対象証明書シリアル番号はhttps://www.hines.hokudai.ac.jp/upki/ssl/#crt_updateで確認. 「作成開始」をクリック 「新規作成」タブにて以下の情報を選択し, 作成を開始する. 「TSVファイル種別」を「更新申請用TSV」に 「証明書種別」を「サーバ証明書」に 「証明書プロファイル」を「3: サーバ証明書(sha256WithRSAEncryption)」に → 「この内容で作成を開始」 CSRファイルを選択して読み込み, 申請内容を編集し, 次へ進む. 主体者DN及びサーバFQDNは自動で入力される. メールを参考に失効対象証明書シリアル番号を入力. 利用管理者E-mail: keikei@ep.sci.hokudai.ac.jp 管理者氏名 : 倉本 圭 管理者所属 : 北海道大学理学研究院 ソフトウェア : qmail dNSName : dNSName=mail.ep.sci.hokudai.ac.jp,dNSName=grey.ep.sci.hokudai.ac.jp # 次回以降は,usuzumi と silver も追加する. TSVファイルをダウンロードし,ダウンロードしたTSVファイルをパスワードをかけてZIP圧縮を行う. # 「$ sudo apt install zip」を実行した. $ zip -e --password=epmail update-server-202507041809.zip update-server-202507041809.tsv adding: update-server-202507041809.tsv (deflated 24%) → 倉本さんに,zipファイルをパスワード(epmail)と共に送信した. サーバー証明書インストール 2025/07/09 実施 茂木さんのログ,サーバー証明書インストールマニュアルを参考に行う. 証明書の取得 倉本さんからの転送メール(epcore-ml:16593)からサーバ証明書をダウンロード. RSA暗号鍵を用いたので.該当部分の証明書・CRLをダウンロード. ホスト証明書,中間CA証明書及び秘密鍵をサーバーにアップロードする. ・greyでの作業ディレクトリの作成  synthese@grey$ mkdir upkiwork ・各種証明書をgreyに転送  sftp synthese@mail.ep.sci.hokudai.ac.jp  >cd upkiwork  >put mail.ep.sci.hokudai.ac.jp.cer  >put nii-odca4g7rsa.cer  >put fullcrlg7rsa.crl  >put mail.key ------------ 以下の作業はgreyにて行う (exit 後,ssh で入る).------------ 秘密鍵パスフレーズの除去 $ cd upkiwork $ cp mail.key mail_out.key $ openssl rsa -in mail_out.key -out mail_out.key Enter pass phrase for mail_out.key: EPcore # 序盤に記入したパスフレーズ. writing RSA key ホスト証明書 (mail.ep.sci.hokudai.ac.jp.cer) の体裁を整える.(2025年度作業時は整っていた) 具体的には ・証明書の先頭行と最終行にそれぞれ, -----BEGIN CERTIFICATE----- ...... -----END CERTIFICATE----- を加える. ・1 行 64 文字(64 bit)となるように改行. imapに証明書を適用 必要な物 ・パスフレーズ解除済みの秘密鍵(mail_out.key) 準備 ・imap 用作業ディレクトリ $ mkdir imap $ cd imap ・証明書・秘密鍵のコピー  $ cp ../*cer ./  $ cp ../mail_out.key ./ 既存証明書のバックアップを行う. $ mkdir dovecot_pre202507 $ sudo cp -r /etc/dovecot/* ./dovecot_pre202507/ $ sudo chown root dovecot_pre202507/ $ sudo chmod 700 dovecot_pre202507/ サーバー証明書と中間証明書を連結させる. $ cat mail.ep.sci.hokudai.ac.jp.cer nii-odca4g7rsa.cer > fullchain.pem 証明書,秘密鍵の移動を行う. # cp mail.ep.sci.hokudai.ac.jp.cer /etc/dovecot/dovecot.cer # cp nii-odca4g7rsa.cer /etc/dovecot/nii-odca4g7rsa.cer # cp fullchain.pem /etc/dovecot/fullchain.pem # cp mail_out.key /etc/dovecot/private/dovecot_key.pem # chmod 700 /etc/dovecot/private/dovecot_key.pem 設定の変更を行う.(2025年度作業時は変更しなくても良かった.) # vim /etc/dovecot/conf.d/10-ssl.conf 以下のように変更 ssl_cert = メールの受信を確認した. pop/smtp に証明書を適用する. pop/smtp 用に作業ディレクトリを作成する. $ cd ../ $ mkdir pop $ cd pop 証明書・秘密鍵をコピーし,結合. $ cp ../*.cer ./ $ cp ../mail_out.key ./ $ cat mail_out.key mail.ep.sci.hokudai.ac.jp.cer nii-odca4g7rsa.cer > qmail.pem ファイルのバックアップをとる. $ mkdir pop_pre202507 $ sudo cp -r /var/qmail/server.key/ ./pop_pre202507/ 鍵を設置する. # cp qmail.pem /var/qmail/server.key/ qmailの再起動 # systemctl restart qmail # ps aux | grep qmail =>メールの送信ができることを確認した. 最後に,証明書の有効期限を確認 (grey 以外で実行). $ openssl s_client -connect mail.ep.sci.hokudai.ac.jp:??? -showcerts /dev/null | openssl x509 -noout -text (??? にはポート番号が入る.993:IMAPS,995:POPS,465:SMTPS.)